GDPR a poskytovatelé

cloudových služeb

Jiří Černý, Ředitel pro právní záležitosti ČR/SK

Vlastimil Tesař, Partner Technology Strategist

Microsoft s.r.o.

This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Vymezení role poskytovatele Cloudu

▪ Prevádzkovateľ: osoba, nebo orgán veřejné moci, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů

(zákazník poskytovatele cloudové služby)

▪ Sprostredkovateľ: osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

(poskytovatel cloudové služby)

▪ Dotknutá osoba: fyzická osoba, která je identifikovaná , resp. identifikovatelná s použitím osobních údajů

(zákazník nebo zaměstnanec Prevádzkovateľa)

▪ GDPR mimo Cloud – MS nemá roli sprostredkovateľa

3

MS nemá roli zpracovatele

Viz Product Terms quotation:

Shared Responsibilities for Cloud Computing

4

Online Services Terms (OST) – Podmínky pro služby online

• Podmínky ochrany osobních údajů a zabezpečení – od str. 7

• Závazek užití dat pouze pro poskytování služeb (ne pro reklamní nebo jiné komerční účely)

• Závazek neposkytnutí dat třetím stranám kromě vyjmenovaných situací a procesů

• Oznámení incidentu zákazníkovi; poskytnutí podrobných informací o incidentu

• Použití dodavatelů (pouze za účelem poskytování služeb, odpovědnost Microsoftu)

• Umístění pro uchování dat a jurisdikce smlouvy – EU; zpracování dat – možné WW

• Ochrana osobních údajů – vrácení / smazání dat, pracovníci, subdodavatelé

• Vyjmenovaná bezpečnostní opatření (v členění ISO 27001) a certifikace (závazek pokračovat)

• Příloha 3: Standardní smluvní doložky dle Rozhodnutí Komise 2010/87/EU

• Příloha 4: Obecné nařízení GDPR Evropské unie – platí pro všechny zákazníky

• Splnění povinností zpracovatele dle článků 28, 32 a 33 plus některé další závazky

OST: http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46

SLA: http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37

Jak může zpracování v cloudu pomoci?

▪ Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20)

▪ Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost

▪ Reflektovat smluvní požadavky na zpracovatele (čl. 28)

▪ Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.)

▪ Zabezpečení technických a organizačních opatření (čl. 32)

▪ Implementace pseudonymizace a šifrování dat (čl. 25, 32)

▪ Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34)

▪ Modelové posouzení vlivu na ochranu os. údajů – DPIA (čl. 35)

▪ Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Kde najdeme Security & Privacy controlsOST – Podmínky pro služby Online – seznam bezp. opatření:

• OST str. 12 – 14: seznam bezp. opatření ve struktuře ISO 27001:2013

• OST str. 14: závazek pokračovat s průmyslovými certifikacemi

Service Trust Platformhttps://servicetrust.microsoft.com/ (vyžaduje user credentials)také aka.ms/STPRepository podkladů k certifikacím:

• Compliance Reports (ISO 27k a SOC reports)

• Trust documents (security whitepapers)

O365 Service Assurancehttps://protection.office.com

Trust Center:www.microsoft.com/trustPodklady - členění podle:

• Rolí – Risk / Compliance / Security / BDM

• Principů – Security / Transparency / Privacy…

• Cloud. služeb – Azure, O365, D365…

• Odtud „More reports….“:

Jak uchopit GDPR

Zjistěte, jaké osobní údaje máte a kde se

nacházejíMapujte1

Rozhodujte o způsobech využití a udělení

přístupu k osobním údajůmSpravujte2

Zaveďte bezpečnostní opatření k předcházení,

detekování a zvládání bezpečnostních incidentůChraňte3

4Uchovávejte požadovanou dokumentaci, vč.

žádostí týkajících se správy osobních údajů

či případů porušení zabezpečení

Dokumentujte

Mapujte:

Co všechno hledat:

•

•

•

•

•

•

•

•

•

•

Inventarizace:

•

•

•

•

•

•

•

Microsoft AzureMicrosoft Azure Data Catalog

Enterprise Mobility + Security (EMS)Microsoft Cloud App Security

Dynamics 365Audit Data & User Activity

Reporting & Analytics

Office & Office 365 Data Loss Prevention

Advanced Data Governance

Office 365 eDiscovery

SQL Server and Azure SQL Database

SQL Query Language

Windows & Windows ServerWindows Search, Windows PowerShell

Příklady řešení

1

2

Příklady řešení

Spravujte:

Správa dat:

•

•

•

•

•

•

•

•

•

Kategorizace dat:

•

•

•

•

•

•

•

Microsoft AzureAzure Active Directory

Rights Management Services

Azure Role-Based Access Control (RBAC)

Enterprise Mobility + Security (EMS)Azure Information Protection

Dynamics 365Security Concepts

Office & Office 365 Advanced Data Governance

Journaling (Exchange Online)

Windows & Windows ServerMicrosoft Data Classification Toolkit

3Příklady řešení

Chraňte:

Prevence proti hrozbám:

•

•

•

•

•

•

•

•

Detekce a zvládání bezpečnostních incidentů:

•

•

•

•

•

•

•

Microsoft AzureAzure Key Vault, Azure Security Center

Azure Storage Service Encryption

Enterprise Mobility + Security (EMS)Azure Active Directory Premium

Microsoft Intune

Office & Office 365 Advanced Threat Protection

Threat Intelligence

SQL Server and Azure SQL DatabaseTransparent data encryption

Always Encrypted

Windows & Windows ServerWindows Defender Advanced Threat Protection

Windows Hello

Device Guard / Credential Guard

4

Příklady řešení

Dokumentujte:

Provozní záznamy

•

•

•

•

•

•

Dokumentace

•

•

•

•

•

•

Microsoft Trust CenterService Trust Portal

Microsoft AzureAzure Auditing & Logging

Microsoft Azure Monitor

Enterprise Mobility + Security (EMS)Azure Information Protection

Dynamics 365Reporting & Analytics

Office & Office 365 Service Assurance

Office 365 Audit Logs

Customer Lockbox

Windows & Windows ServerWindows Defender Advanced Threat Protection

Beginning your General Data

Protection Regulation (GDPR)

journey

Whitepaper 31 stran

Metodika 4 kroků + nástroje

i v češtině

www.aka.ms/GDPRwhitepaperCZ

Modelové analýzy rizik a scénáře pro DPIA

▪ GDPR prezentace a zdroje v CZ: www.aka.ms/jaknaGDPRk dispozici modelové analýzy rizik pro zákazníky (v češtině):

▪ Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.)

▪ Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR

▪ Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.)

▪ Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.)

▪ Osobní údaje v Exchange Online

▪ Citlivé osobní údaje v SharePoint Online

▪ Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business

▪ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Modelové analýzy rizik a scénáře pro DPIA

▪ Stránky GDPR konference z 04/2017: www.aka.ms/jaknaGDPRk dispozici modelové analýzy rizik pro zákazníky (v češtině):

▪ 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.)

▪ Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR

▪ 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.)

▪ 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.)

▪ Osobní údaje v Exchange Online

▪ Citlivé osobní údaje v SharePoint Online

▪ Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business

▪ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

HIPAA /

HITECH ActFERPA

GxP

21 CFR Part 11

Singapore

MTCS

UK

G-Cloud

Australia

IRAP/CCSL

FISC Japan

New Zealand

GCIO

China

GB 18030

EU

Model Clauses

ENISA

IAF

Argentina

PDPA

Japan CS

Mark Gold

CDSAShared

Assessments

Japan My

Number Act

FACT UK GLBA

Spain

ENS

PCI DSS

Level 1MARS-E FFIEC

China

TRUCS

Canada

Privacy Laws

MPAA

Privacy

Shield

India

MeitY

Germany IT

Grundschutz

workbook

Spain

DPA

HITRUST IG Toolkit UK

China

DJCP

ITARSection 508

VPATSP 800-171 FIPS 140-2

High

JAB P-ATOCJIS

DoD DISA

SRG Level 2

DoD DISA

SRG Level 4IRS 1075

DoD DISA

SRG Level 5

Moderate

JAB P-ATO

GLO

BA

LU

S G

OV

IND

US

TR

YR

EG

ION

AL

ISO 27001

SOC 1

Type 2ISO 27018CSA STAR

Self-AssessmentISO 27017SOC 2

Type 2SOC 3ISO 22301

CSA STAR

Certification

CSA STAR

AttestationISO 9001

Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/STP

Využití expertních znalostí

Zjednodušení cesty k souladu

GDPRCompliance

GDPRCompliance

GDPRCompliance

Posouzení rizik a realizace opatření

Zdroje k GDPR:

Microsoft Corp hlavní stránka:microsoft.com/GDPR

Prezentace a zdroje v češtině:aka.ms/jaknaGDPR

Microsoft Trust Centermicrosoft.com/trust

Service Trust Platform – podklady k certifikacím, auditní zprávy: aka.ms/STP(vyžaduje log-in, NDA level)

VYUŽITÍ CLOUDOVÝCH SLUŽEB MICROSOFT A UKÁZKY ŘEŠENÍ

This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Proboha, co s tím??? A proč?

Cesta, jak se stát a zůstat GDPR compliant

OPERATIVA

OCHRANA

AKTUALIZACE

PROCESY

ŠKOLENÍ

POSOUZENÍ VLIVU

DPIAROZDÍLOVÁ

ANALÝZA

DATA - APLIKACE – TECHONLOGIE – ZABEZPEČENÍ

25. květnem 2018 to nekončí. Naopak začíná.

Ujistěte se, že máte pokryty všechny potřebné

procesy,

aby vás v budoucnu nic nepřekvapilo.

Serv

ery

a ú

loži

ště

• Aplikace

• Databáze

• Složky

• E-maily

• Kontakty

• Logy

• Dokumenty

• Zálohy

• Archivy

• Virtuály

• Weby

No

teb

oo

ky,

sta

nic

e • Dokumenty

• E-maily

• Kontakty

• Aplikace

• Cookies

Mo

bil /

tab

let

• E-maily

• Dokumenty

• Cookies

• Aplikace

Clo

ud

ové s

lužb

y

• Aplikace

• E-maily

• Dokumenty

• Webshopy

• Sociální sítě

Jin

de v

IT

• Zálohy

• Archivy

• Externí disky

• Síťové prvky

• Kamery

• …ky

Mim

o IT

• Kartotéky

• Spisy

• Archivy

• Diáře

• …

Microsoft 365

Office 365

Enterprise Mobility & Security

Azure Azure

Windows 10

• Migrace do Office 365, infrastruktura do Azure Iaas

• Využití vlastností Office 365 E3

• Funkce Azure OMS, O365 E5, Win 10, EMS, M365 E5

• Nové aplikace v Azure PaaS, Dynamics 365

• Partnerské aplikace pro GDPR (KPCS Atom, Xeelo…)

Windows Hello

Credential Guard

Data Loss Prevention

Threat Intelligence

Audit Logs

eDiscovery

Information Protection

Transparent Data EncryptionAlways Encrypted

Threat Detection

Key Vault

Data Log

Log Analytics

Intune

Cloud App Security

Active Directory

Data Classification

Bitlocker

Azure

Security Center

Safetica

ATOM

XEELO

SAMSUNG

Nina

Partneripro

implementace

Partneřipro

procesy

PartneriPro

služby

PartneriPro

školení

Partneripro

implementace

Partneřipro

procesy

PartneriPro

služby

PartneriPro

školení

Don’t complain. Just comply_ XEELO GDPR SOLUTION

Cesta, jak se stát a zůstat GDPR compliant

OPERATIVA

OCHRANA

AKTUALIZACE

PROCESY

ŠKOLENÍ

POSOUZENÍ VLIVU

DPIAROZDÍLOVÁ

ANALÝZA

Podpora DPIA

DATOVÝ AUDIT

V XEELO GDPR

ZAMĚSTNANCI REPORTY

DATOVÁ

MAPA

RIZIKA

Podpora žádosti subjektu údajů

EXTERNÍ ŽÁDOST

ZÁKAZNÍK

REPORT

DATOVÁ

MAPA

VYŘEŠENÍ

SLA

Co je sbaleno v Xeelo GDPR

99GDPR

ČLÁNKŮ

38RELEVANTNÍCH

PRO FIRMY

28POKRÝVÁ

XEELO GDPR

Ostatní je organizace

ZBYTEK JE např. nominace DPO, závazná podniková pravidla,

odpovědnost za škodu, konzultace s dozorovým úřadem apod.

PLNĚ POKRYTO

21

ČÁSTEČNĚ

POKRYTO

7

NEPOKRYTO 10

Co vás čeká po 25. květnu 2018

Když někdo požádá o detekci dat…

EXTERNÍ ŽÁDOSTI

Abyste měli souhlas se zpracováním dat…

ZÁKONNÝ RÁMEC & PRÁVNÍ SOUHLAS

Když k něčemu přece jen dojde…

ŘÍZENÍ INCIDENTŮ

Když bude potřeba změnit IT systémy…

ZMĚNOVÉ POŽADAVKY

Pro prokázání proběhlých školení…

ŠKOLENÍ A EVIDENCE ÚČASTNÍKŮ

Pro prokázání, že informujete zaměstnance…

DISTRIBUCE INTERNÍCH SMĚRNIC

Když se rozhodnete změnit to, jak fungujete…

ZÁZNAMY O ZPRACOVÁNÍ

Když moje data opouští EU…

MIGRACE DAT DO ZEMÍ MIMO EU

Abyste mohli řídit a vyhodnocovat rizika…

ŘÍZENÍ RIZIK

Když potřebujete přesné znění…

FAQ & SMĚRNICE

Co vás čeká po 25. květnu 2018 s XEELem

Důvod zmapovat vaše systémy a data

ZÍSKÁTE PŘEHLED NAD SYSTÉMY V CELÉ FIRMĚ

Budete mít jedno místo pravdy a zbavíte se duplicitního zadávání

ZÍSKÁTE MOŽNOST CENTRALIZOVAT VAŠE DATA

Využijte to jako příležitost digitalizovat vaši firmu

DOSTANETE VÍCE PROCESŮ POD KONTROLU

Budete moct říct, že jste udělali maximum

OPATŘÍTE SI PODKLADY A ZMÍRNÍTE SANKCE

Dejte vašim zaměstnancům jednotné prostředí pro jejich dennodenní úkoly

VYBUDUJTE SI JEDNOTNOU VRSTVU NA ŘÍZENÍ WORKFLOW

Vystoupejte na nejvyšší horu

Vyřešte všechny procesy a zůstaňte GDPR compliant

25. květnem 2018 to nekončí. Naopak začíná.

Ujistěte se, že máte pokryty všechny potřebné procesy,

aby vás v budoucnu nic nepřekvapilo.

BASE CAMP CAMP 1 CAMP 2 CAMP 3 PEAK

www.xeelo.com/gdpr

Advanced Threat & Operation Monitoring

Svět se již změnil

Skutečné příběhy… dějství prvé

#db4554 / R:219 G:69 B:84

#0078d7 / R:0 G:120 B:215

Čas: T+0 Čas: T+0 Čas: T+3d Čas: T+4d Čas: T+7d Čas: T+8d

Kompromitace počítače

Zcizení hesel z prohlížeče

(Chrome)

Phishing email na CEO

od důvěryhodného uživatele

Infikování zařízení CEO

Zneužití chyby malware

Získání

privilegovaného účtu

Zneužití

legitimního mailu

Scan outlook a získání přístupu

Přihlášení do Office 365 z NG

Vytvoření pravidla

přesměrování poštyKontrola odeslané

pošty, harvest údajů

Legitimní žádost CFO,

předání žádosti na CEO

CEO potvrzuje platbu

Platba provedena

Opakování žádosti CFO,

předání žádosti na CEO

CEO zamítá platbu

CEO má podezření

Platba neprovedena

Vyšetřování FBI

Forenzní analýza

Windows 10 ATP SandBox check

Windows 10 ATP Process stolen

AZURE AIPATOM – detekce security log

Conditional Access

Azure MFA

ATOM AAD fraud detektce

AZURE AIP ATOM log traceIntune

Conditional Access

Windows 10 ATP

AZURE AIPATOM – detekce app log

ATOM – detekce security log

Azure MFA

Skutečné příběhy… dějství druhé

Čas: T+0 Čas: T+1d Čas: T+1,5d Čas: T+2d

Scan IP port

Bruteforce RDP

Nalezeno slabé heslo

Na Azure VM

AZURE: přihlášení na RDP

AZURE: mimikatz, získán

privilegovaný účet

AZURE: scan sítě

AZURE: Enumerace RDP serverů

ONPREM: Nastaveny vlastní Gpo

Distribuce BitCoin harvest

ONPREM: RDP přístup na DC

ONPREM: nalezen DC

Spuštěn Bitcoin Harvest

100% vytížení serverů

ONPREM/AZURE

DDOS

Odstavení služeb, Změny hesel

Uzavření portů

Forenzní vyšetřování

Selhání služeb

ATOM: stopa útokuATOM: detekce bruteforce

Notifikace telefonem

ATOM: detekce vytvoření GPo

ATOM: detekce přístupu na DC

ATOM: detekce přístupu na RDP

ATOM: detekce použití účtu

Notifikace telefonem

ATOM: detekce otevřeného

portu

ATOM: detekce nežádoucího procesu

ATOM: detekce vytížení

ATOM: detekce selhání

ATOM, KPCS a GDPR Article 32 section 1 lit b.GDPR

#db4554 / R:219 G:69 B:84

#0078d7 / R:0 G:120 B:215

Integrita Dostupnost Odolnost Důvěrnost

• Kontrola změn služeb

• Kontrola změn souborů

• Kontrola síťového provozu

• Kontrola přihlášení ke

koncovému bodu

• Network monitoring

• Performance monitoring

• Event management

• Health check lite

• Porovnání s baseline

• Vyhodnocení best practice

• Service Map a vazby služeb,

procesů a systémů

• Kontrola skupin AD

• Kontrola lokálních skupin

• Kontrola chování uživatele

• Integrace s ATA a SIEM

• Kontrola DNS dotazů

Pre

AssessmentPersonal Data

AssessmentRisk Analysis

& Measures

Mandatory Measures

GDPR EFFECTIVE

25.5.2018

Continuous Data Privacy Management

Measures Implementation

Vybudováno na Microsoft Azure

Flexibilní, škálovatelné, bez geografického

omezení, řada bezpečnostních certifikací

#db4554 / R:219 G:69 B:84

#0078d7 / R:0 G:120 B:215

Zaměřte se na důležité

Expertní znalost konzultantů obsažena

v produktu, upozornění na problémy

ohrožující bezpečný a bezproblémový chod

Detailní reporty

Každý týden report na váš e-mail, dle

zvolené varianty bezpečnostní

doporučení

Nepotřebuje žádné investice

Model pay-as-you go, základní verze

zdarma, rychlé nasazení

Bezpečnost, podpora GDPR

Využití pro GDPR, bezpečnostní audit a

bezproblémový provoz IT, mobilní klient

Žádná omezení, žádné limity

Jakýkoliv server, jakýkoliv cloud, Windows,

Linux, síťové prvky

Azure OMS – základ ATOM

Vlastní dopněná řešeí ATOM

Každé řešení má detail

Nebo úplný detail – audit trail

Ale nemusím být odborníkATOM report

Hodnocení

prostředí jako

celkuKlikni pro detail

– konzole ATOM

Bezpečnost je

výzva

Správa systémů

příliš komplexní

Nechcete investovat

/ již monitorujete

• Nedostatek zdrojů – technických

/ lidských

• Spousty (nebo žádné) nástrojů

na monitoring

• Je nutné být v souladu s GDPR

ve 2018

ATOM: získává data pro reportování

potenciálních průniků

• Je nesnadné porozumět

diagnostickým informacím z

nástrojů.

• Nebo je informací moc

• Hybridní multi OS prostředí

ATOM: reporty obsahují znalosti „jak

na to“ u podstatných problémů jak

bezpečnost, tak operations

• Model Pay-as-you go.

• Není nutná implementace, bez

investic.

• Propojení stávajících systémů

ATOM: připraven za 15min, report

po prvním týdnu. Propojení SCOM,

Zabbix a další

#db4554 / R:219 G:69 B:84

#0078d7 / R:0 G:120 B:215

Nemáte čas na

analýzu

Chybí Vám

znalosti

Prostředí je

příliš složité

Každý týden report ve vašem e-mailu• Obsahuje to nejdůležitější, včetně doporučení nápravy

• Zaměřte se na ty nejdůležitější problémy v prostředí

• Sledujte změny, mějte dokumentaci prostředí aktuální

• Nemusíte být expertem na všechny systémy, abyste zajistili jejich efektivní chod

• Volitelně – s nápravou pomůžeme, garantované SLA (v EU) pro kritické a bezpečností problémy

Dělejte správná rozhodnutí ve správný čas

Složité věci, snadno pochopitelné

www.ATOM.ms | atom@atom.ms

Windows Hello

Credential Guard

Data Loss Prevention

Threat Intelligence

Audit Logs

eDiscovery

Information Protection

Transparent Data EncryptionAlways Encrypted

Threat Detection

Key Vault

Data Log

Log Analytics

Intune

Cloud App Security

Active Directory

Data Classification

Bitlocker

Azure

Security Center

Safetica

ATOM

XEELO

SAMSUNG

Nina

Zdroje k GDPR:

Microsoft Corp hlavní stránka:microsoft.com/GDPR

Prezentace a zdroje v češtině:aka.ms/jaknaGDPR

Microsoft Trust Centermicrosoft.com/trust

Service Trust Platform – podklady k certifikacím, auditní zprávy: aka.ms/STP(vyžaduje log-in, NDA level)

Děkuje Vám za pozornost

Jiří Černý

jiric@microsoft.com

Vlastimil Tesař

vlastimil.tesar@microsoft.com

This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.